2009年8月26日

GHOST背后的可怕你知道吗

因为ghost得速度优势和保存原设置的方便,现在用它的朋友越来越多了,但据不完全统计,好像知道它的危险的很少很少啊,各种万能ghost版本系统光盘其中有精品，也有垃圾，更有暗留了后门的陷阱! 不得不替大家担心!如果是个人机没什么重要东东的话也没人会黑你,即使黑了也无所谓,但如果是公司的,或者有比较重要秘密的被黑了可就惨了,强烈建议大家好好看看本文.为了引起大家的重视,如果姐姐觉得有必要的最好能加精,不是为了加分,姐姐送我的分加上自己赚得已经很多了,不在乎那点分了,为了证明这一点,免除有的人以小人之心度我加精不给分也行.只是觉得安全问题应该放在第一位　　一、xp万能ghost系统分析：　　万能ghost系统制作时，是在安装成功后删除windows自带的多余文件，并且删除硬件信息，然后进行系统封装。如果在安装前，制作者有意将某个系统文件替换成木马后门，或者在系统中打开某些端口，开启某些危险服务，留下某些空口令帐户，那么制作出来的ghost系统就会存在各种安全漏洞。这些ghost系统流传出去后使用这些系统的用户可能被作者控制为肉鸡。。。　　二、ghost版系统常见漏洞一览：　　1：空密码远程桌面漏洞，可以用空密码进行3389远程登陆，可以远程进行任务系统操作。用途利用3389漏洞刷Q币，盗取adsl密码账号等等。　　2：隐藏共享漏洞，任何用户都可以访问共享，非默认的ipc$共享，可以发现共享权限为everyone完全控制。用途很多，guest组用户也可以格式化你的硬盘。　　3：administrator用户密码漏洞,不多做介绍了。　　4：起用危险服务，在服务工具中可以发现很多危险服务都被打开，并且远程选项卡中允许用户远程连接到此计算机被启动。　　5：防火墙作过手脚，在系统防火墙可看到默认未开启允许通过的项目都被勾选。　　6：流氓软件与后门木马，私自为用户安装很多流氓软件。更恐怖的是将系统文件换成灰鸽子木马!(并且现在有克隆系统文件版本信息的软件，可以把木马文件伪装的外表上看上去和系统文件一样包括标识大小标注等等!) 　　三、危险ghostxp系统版本检测　　目前已知有问题的版本列表如下：　　1：番茄花园系列番茄花园windowsxpprosp2免激活版v2.8和2.9以及新版本　　2：雨林木风系列雨林木风ghostwinxp2v2.0装机版纯净会员版y1.7v1.85以及新版本　　3：东海电脑公司版ghostxp_sp2电脑公司特别版v4.0v4.1v5.0v5.1v5.5以及新版本　　大家可在系统属性对话框中查看自己系统版本判断是否存在问题，网上流传的其他ghost系统版本也或多或少的存在如上的安全问题!请谨慎使用! 感谢八楼朋友的提醒,现在把补救办法和装完系统后必要的优化写出来供大家参考,有什么不足还望大家继续提意见和建议,谢谢不要急着接入网络在安装完成Windows后，不要立即把服务器接入网络，因为这时的服务器还没有打上各种补丁，存在各种漏洞，非常容易感染病毒和被入侵。此时要加上冲击波和震撼波补丁后并重新启动再联入互联网。给系统打补丁/安装杀毒软件不用多说，冲击波和震荡波病毒的补丁是一定要打上的，如果你安装了Windows XP SP2则不用再另行安装。Windows XP冲击波（Blaster）病毒补丁下载地址为：点这里下载，震荡波（Sasser）病毒补丁下载地址为：点这里下载。安装完系统后，一定要安装反病毒软件，同时将其更新到最新版本。关闭系统还原系统还原是Windows ME和Windows XP、Windows 2003中具有的功能，它允许我们将系统恢复到某一时间状态，从而可以避免我们重新安装操作系统。不过，有的人在执行系统还原后，发现除C盘外，其它的D盘、E盘都恢复到先前的状态了，结果里面保存的文件都没有了，造成了严重的损失！这是由于系统还原默认是针对硬盘上所有分区而言的，这样一旦进行了系统还原操作，那么所有分区的数据都会恢复。因此，我们必须按下Win+Break键，然后单击“系统还原”标签，取消“在所有驱动器上关闭系统还原”选项，然后选中D盘，单击“设置”按钮，在打开的窗口中选中“关闭这个驱动器上的系统还原”选项。依次将其他的盘上的系统还原关闭即可。这样，一旦系统不稳定，可以利用系统还原工具还原C盘上的系统，但同时其他盘上的文件都不会有事。给Administrator打上密码可能有的人使用的是网上下载的万能Ghost版来安装的系统，也可能是使用的是Windows XP无人值守安装光盘安装的系统，利用这些方法安装时极有可能没有让你指定Administrator密码，或者Administrator的密码是默认的123456或干脆为空。这样的密码是相当危险的，因此，在安装完系统后，请右击“我的电脑”，选择“管理”，再选择左侧的“计算机管理（本地）→系统工具→本地用户和组→用户”，选中右侧窗口中的Administrator，右击，选择“设置密码”。在打开窗口中单击“继续”按钮，即可在打开窗口中为Administrator设置密码。另外，选择“新用户”，设置好用户名和密码，再双击新建用户，单击“隶属于”标签，将其中所有组（如果有）都选中，单击下方的“删除”按钮。再单击“添加”按钮，然后再在打开窗口中单击“高级”按钮，接着单击“立即查找”按钮，找到PowerUser或User组，单击“确定”两次，将此用户添加PowerUser或User组。注销当前用户，再以新用户登录可以发现系统快很多。关闭默认共享 Windows安装后，会创建一些隐藏共享，主要用于管理员远程登录时管理系统时使用，但对于个人用户来说，这个很少用到，也不是很安全。所以，我们有必要要切断这个共享：先在d：\下新建一个disshare.bat文件，在其中写上如下语句： @echo off net share C$/del net share d$/del netshare ipc$/del net share admin$ /del 接下来，将d：\disshare.bat拷贝到C：\WINDOWS\System32\GroupPolicy\User\Scripts\Logon文件夹下。然后按下Win+R，输入gpedit.msc，在打开窗口中依次展开“用户配置→Windows设置→脚本（登录/注销）”文件夹，在右侧窗格中双击“登录”项，在弹出的窗口中，单击“添加”命令，选中C：\WINDOWS\System32\GroupPolicy\User\Scripts\Logon文件夹下的disshare.bat文件。完成上述设置后，重新启动系统，就能自动切断Windows XP的默认共享通道了，如果你有更多硬盘，请在net share d$/del下自行添加，如net share e$/del、net share f$/del等。启用DMA传输模式启用DMA模式之后，计算机周边设备（主要指硬盘）即可直接与内存交换数据，这样能加快硬盘读写速度，提高数据传输速率：打开“设备管理器”，其中“IDE ATA/ATAPI 控制器”下有“主要　 IDE 通道”和“次要　 IDE 通道”，双击之，单击“高级设置”，该对话框会列出目前IDE接口所连接设备的传输模式，单击列表按钮将“传输模式”设置为“DMA（若可用）”。重新启动计算机即可生效。启用高级电源管理有时候安装Windows XP之前会发现没有打开BIOS电源中的高级电源控制，安装Windows XP后，关闭Windows时，电源不会自动断开。这时，很多人选择了重新打开BIOS中的高级电源控制，并重新安装Windows XP.事实上，用不着这么麻烦，只要大家确认已经在BIOS中打开高级电源控制选项，同时选择ACPI Pc，一定不要选错，否则重启后可能无法进入Windows），并重新启动电脑，电脑可能会重新搜索并自动重新安装电脑的硬件，之后就可以使其支持高级电源控制了。取消压缩文件夹支持单击开始→运行，输入“regsvr32 /u zipfldr.dll”回车，出现提示窗口“zipfldr.dll中的Dll UnrgisterServer成功”即可取消Windows XP的压缩文件夹支持。另外，输入regsvr32 shdocvw.dll可以取消“图片和传真”与图片文件的关联。取消“磁盘空间不足”通知当磁盘驱动器的容量少于200MB时Windows XP便会发出“磁盘空间不足”的通知，非常烦人。可以打开“注册表编辑器”，定位到HKEY_CURRENT_USER\Software\Mi crosoft\Windows\CurrentVersion\Policies \Explorer，在“Explorer”上单击右键，选择右键菜单上的“新建”→“DWORD 值”，将这个值命名为“NoLowDiskSpaceChecks”，双击该值将其中的“数值数据”设为“1”。启用验证码安装SP2后，大多数用户发现在访问某些需要填写验证码的地方，都无法显示验证码图片（显示为一个红色小叉），这是一个非常严重的Bug.解决办法为：运行“Regedit”命令打开注册表编辑器，依次定位到“[HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ Security]”，在窗口右边新建一个名为“BlockXBM”的REG_ DWORD值，将其值设置为“0”（十六进制值）。打开大硬盘支持现在硬盘越来越大，160GB的硬盘已经有售，要让Windows XP很好地支持大于137GB的大硬盘，必须打开“注册表编辑器”，再定位到HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Services\Atapi\Parameters下，双击EnableBigLba（如果没有则新建一DWORD值），将其设置为1即可。取消保留的带宽由于专业版在网络上的需要，所以默认设置了20%的默认保留带宽，其实对于个人用户，这些保留的带宽是没有用处的，取消此项可以加速网速！在“运行”窗口中输入gpedit.msc，打开“组策略编辑器”，找到“计算机配置”→“管理模板”→“网络”→“QoS数据包调度程序”，双击右边“限制可保留带宽”，在打开窗口中选择“已禁用”即可把保留的带宽即可。取消不必要的协议默认情况下，Windows XP给网卡加载了很多的协议，而有些我们并不需要，将它松绑可以给网络加速，还可以让电脑变得更安全。打开“网络连接”窗口，右击“本地连接”，选择“属性”，如果你不想给其他电脑共享文件，则可以取消“Microsoft 网络的文件和打印机共享”项，这样别人就无法看到你电脑上的任何文件了，但你仍可以看其他电脑上的共享文件，这样就会安全些。如果你使用的是RASPPPOE协议的小区宽带上网或ADSL，则可以取消掉上述中所有勾选。然后单击“创建一个新的连接”，在“网络连接类型”中勾选“连接到Internet”，单击“下一步”按钮，在接下来的窗口中我们勾选第二项“手动设置我的连接”，并单击“下一步”按钮，再在接下来的这一项“怎样连接到Internet”中勾选“用要求用户名和密码的宽带连接来连接”，确认无误后单击“下一步”按钮，最后在“Internet账户信息”窗口中输入由ISP提供的用户名和密码，输入完成后单击“下一步”按钮完成建立好拨号。再拨号上网可以给系统的网络加速。关闭远程桌面右击“我的电脑”，选择“属性”，单击“远程”标签，在“远程桌面”下，将“允许用户远程连接到这台计算机”勾去掉可以取消远程桌面，这样电脑会安全一些。关掉多余的服务右击“我的电脑”，选择“管理”，单击“服务和应用程序”下的“服务”项，双击相应的服务，单击“属性”，在“常规”选项卡上单击“启动类型”下拉列表框，选择“自动”、“手动”或“禁用”。实际配置时，选择“手动”或者“禁用”都可以关闭该服务，推荐使用手动功能，以便可随时启动一些临时需要的服务。快速浏览局域网络的共享通常情况下，Windows XP在连接其它计算机时，会全面检查对方机子上所有预定的任务，这个检查会让你等上30秒钟或更多时间。只要打开“注册表编辑器”，然后删除掉HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Explorer\RemoteComputer\NameSpace键值下的D6277990-4C6A-11CF-8D87-00AA0060F5BF键，重启计算机后Windows XP就不再检查预定任务了。重定向文档文件夹很多人喜欢将文档保存在“我的文档”文件夹下，但默认情况下，它保存在C盘上，系统崩溃后比较难恢复。因此，我们可以右击“我的文档”，选择“属性”，再单击“目标文件夹”标签，在“目标文件夹位置”下的输入框输入路径，如果文件夹不存在，会弹出对话框让你确定新建一个该文件夹；单击“确定”按钮，“我的文档”路径就会改变，并且将原来文档里面的文件都移动到新的路径。重定向收藏夹文件夹收藏夹中保存着我们平时喜欢的网址，默认情况下，在Windows 9x/Me中，收藏夹位于C：\Windows\Favorites文件夹。而在Windows 2000/NT/XP中则放在C：\Documents and Settings\用户名\Favorites中（如系统管理员的收藏夹就放在C：\Documents and Settings\Administrator\Favorites下）。放在系统分区上并不安全，我们可以先进入这些文件夹，按下Ctrl+A选中所有文件，再把按下Ctrl+C，然后切换到非系统分区上的某一文件夹下，如d：\Favorites文件夹下，按下Ctrl+V键粘贴这些文件。接着，启动“注册表编辑器”，定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders项目，在窗口的右侧，我们可以看到一个名为Favorites的项目，双击它，把其中的C：\DocumentsandSettings\xxx\Favorites改为d：\Favorites 先安装XP,然后再做个GHOST,把驱动,优化,软件和补丁都做进去了,第一次麻烦,但以后省心的多了.

Dream Maker 老漂 ^{不要有和人斗的心，你要赢的是你自己！}

GHOST背后的可怕你知道吗

◎欢迎参与讨论，请在这里发表您的看法、交流您的观点。